Mythos ‘Sichere Passwörter’
(firmenpresse) -
Auch Verschlüsselung, Zwei-Faktor-Authentifizierung etc. ist gegen den Diebstahl von Milliarden Passwörtern völlig nutzlos!
Anwender können hunderte Zeichen lange Passwörter nutzen mit alphabetischen Zeichen, Groß- und Kleinschreibung, Ziffern und Sonderzeichen, sie können sie (häufig) wechseln: Alles nutzlos gegen Diebstahl. Auch die immer wieder kolportierte Zwei-Faktor-Authentifizierung ist völlig unsicher, wenn die Server und Webseiten nicht sicher sind!
Wenn die Betreiber von Servern und Webseiten die Passworte, Faktoren etc. der Anwender nicht ordentlich schützen, ist kein Kraut gegen Hacker gewachsen. Im Gegenteil brauchen die Hacker nur zu prüfen, ob Sicherheitslücken auf den Servern und Webseiten ausgenutzt werden können. Ausgenutzt werden für Angriffe:
•Nicht-gepatchte Sicherheitslücken und
•insbesondere die noch nicht erkannten Sicherheitslücken (Zero-Day-Vulnerabilities)
Und es können ALLE gespeicherten Passwörter ausgelesen werden: Auch besonders lange oder kompliziert aufgebaute Passwörter und auch die verschlüsselten oder gehashten Passwörter. Deren Verschlüsselung muss dann nur noch geknackt werden oder es können Rainbow-Tables zur Rückrechnung der Hashes eingesetzt werden.
Einzig und allein die methodische Identifizierung der Sicherheitslücken in einem Security Testing Process (und das Patchen) hilft – dann allerdings auch gegen ALLE Angriffe gegen Server und Webseiten und damit auch gegen Passwort-Diebstahl.
Prof. Dr. Hartmut Pohl, Geschäftsführer der IT-Sicherheitsberatung softScheck GmbH: Die Betreiber von Servern und Webseiten wissen dies seit Jahren. Allerdings kann es Sicherheit nicht kostenlos geben. Die Identifizierung der Sicherheitslücken ist zwar preiswert erhältlich, aber dazu kommen notwendig die Patchkosten. Viel zu häufig wollen Anwender allerdings kein Geld für Sicherheit in die Hand nehmen.
Die IT-Sicherheitsberatung softScheck GmbH identifiziert seit mehr als 10 Jahren bislang nicht-erkannte Sicherheitslücken (Zero-Day-Vulnerabilities) in Software (und auch Hardware).
softScheck führt regelmäßig Sicherheitsprüfungen von Software und Hardware durch. Daneben bietet softScheck selbstverständlich auch die klassische IT-Sicherheitsberatung an vom Grundschutz (ISO 27000-Familie) bis hin zur Hochsicherheit in der Informationsverarbeitung (Redundanz und Diversität) – auch mit Consulting, Coaching und Forensics.